网络数据传送安全加密常规三步:
1、认证,也就是用户的信息认证。
2、数据传输加密,即使数据被截获也难以知道数据的真正内容。
3、数据传输验证,对数据的完整性验证,防止数据被篡改。
如何加强园区网的网络安全?关于这方面也有很多专业人士对其谈乱,但是今天我还是给出以下几方面的安全建议:
一、对设备conslole登陆认证,因为常常来讲,很多企业都没对console接入认证,因为总觉得能用console登陆的都是安全的人员,但是有时候并非如此。建议使用线下密码认证。
sw(config)# line console 0
sw(config)# login
sw(config)# password elvhome
二、VTP认证安全,因为常常我们管理内部网络都使用telnet等方式登陆。所以建议使用线下加密或者3A认证或者使用本地认证。或者更高级的认证。
sw(config)# line vty 0 4
sw(config)# login
sw(config)# password elvhome
三、对enable密码设置
sw(config)#enable password elvhome
四、对enable 密码MD5加密
sw(config)#enable secret elvhome
五、对一个网络设备中所有的密码进行MD5加密。
sw(config)# service password-encryption !此命令将会把网络一个网络设备中所有的密码全部加密。
sw(config)# no service password-encryption !关闭秘钥加密功能,不会影响已经加密了的秘钥。只会影响创建的新的秘钥。
以上的都是基本的加密处理。下面我们将介绍最为重要的安全配置。
Configuring Port Security
一、对接入交换机的端口mac地址学习安全配置。因我们知道如果一台pc不停的向交换机发送数据帧,并且每一次的源目mac地址都不一样,就会导致交换机不停的范洪,不停的自动学习mac地址,那么就会导致交换机CPU资源耗尽,整个网络中一直不停的传送广播报文,最终将会终止所有正常的pc不能上网。所以我们要对接入端口开启一个安全项目。
sw(config)# interface fa0/1
sw(config-if)# switchport mode access !此安全只能在access接入口下
sw(config-if)# switchport port-security !开启安全项目
sw(config-if)# switchport port-security maximum <1-5120> !此命令是开启端口下白名单最大数量,如果你是接入终端PC设置为1即可,如果你是连接集线器交换机等,那必须要设置更多,因为在集线器交换机下肯定不止一台PC。
sw(config-if)# switchport port-security mac-address sticky !选择mac地址白名单安全方式
sw(config-if)# switch port-security violation <protect | restrict | shutdown> !出现安全报警后的操作,丢弃,丢弃并生成日志,接口置为error disable。
如果在该安全项目下发生的状态将端口置为了error disable ,此种情况只能通过进入接口下先shutdown端口在noshutdown,才能开启端口。但是此种很麻烦,所以我们还需要为其配置一个自动恢复命令,也就是在什么原因下发生的error disable在多少秒后自动恢复。
sw(config)#errdisable recovery cause psecure-violationg !配置为因为 secure安全导致的error
sw(config)#errdisable recovery interval !配置恢复时间,最小为30s
sw# show prot-security !查看端口安全的相关信息
sw# show prot-security interface fa0/1 !查看指定端口的安全项目信息
sw# show mac address-table
sw# show mac address-table aging-time
